Fehlende Sicherheitsupdates: US-Behörden ermitteln gegen Smartphonehersteller

Die US-Handelsbehörde Federal Trade Commission sowie die Regulierungsbehörde Federal Communications Commission (FCC) haben Ermittlungen gegen die Smartphonehersteller Apple, Blackberry, Google, HTC, LG, Microsoft, Motorola und Samsung eingeleitet. Die Unternehmen wurden Anfang der Woche schriftlich aufgefordert, verschiedene Fragen rund um die Auslieferung von Sicherheitsupdates für ihre mobilen Geräte zu beantworten. Ähnliche Briefe haben auch mehrere Mobilfunkanbieter in den USA erhalten.

Beide Behörden wollen nach eigenen Angaben mehr über die Sicherheit mobiler Geräte erfahren. Der FTC geht es dabei konkret um Faktoren, die anhand derer die Smartphonehersteller entscheiden, „ob sie eine Sicherheitslücke eines bestimmten mobilen Geräts schließen“, welche Anfälligkeiten diese Geräte hatten und ob und wann die Schwachstellen beseitigt wurden. AT&T, Sprint und Verizon wiederum sollen gegenüber der FCC das „Verfahren für die Prüfung und Veröffentlichung von Sicherheitsupdates für mobile Geräte“ offenlegen.

Möglicherweise ist die Untersuchung die Reaktion auf eine Beschwerde, die die American Civil Liberties Union 2013 eingereicht hat. Die Bürgerrechtsorganisation wirft vor allem den Mobilfunkanbietern vor, die Auslieferung kritischer Android-Updates zu verzögern und dadurch Verbraucher „erheblichen Cybersicherheitsrisiken auszusetzen“.

Google veröffentlicht als Herausgeber des Mobilbetriebssystems Android in der Regel einmal pro Monat Sicherheitsupdates. Die Patches stellt es auch seinen Partnern zur Verfügung, die allerdings selbst entscheiden dürfen, welche Geräte aus ihrem Sortiment die Fixes erhalten und welche ungepatcht bleiben. Google macht auch keine zeitlichen Vorgaben für die Auslieferung von Patches.

Bisher folgen nur wenige Hersteller Googles Beispiel eines monatlichen Patchdays. Dazu zählen Samsung und Blackberry. Ersteres beschränkt die Updates allerdings auf wenige Premiummodelle, darunter Galaxy S6 und S7, Note 4 und Galaxy A5. Andere Anbieter wie die Lenovo-Tochter Motorola gelten zwar als vorbildlich bei der Aktualisierung ihrer Geräte auf neue Android-Versionen, einen monatlichen Android-Patchday bieten sie jedoch nicht an.

Apple wiederum schließt Lücken in iOS in der Regel nur bei Bedarf beziehungsweise im Rahmen allgemeiner OS-Updates. Da das Unternehmen aus Cupertino für Hardware und Software seiner Geräte alleine verantwortlich ist, liefert es auch alle Patches direkt aus. Inwieweit die notwendigen Prüfungen der Mobilfunkpartner Einfluss auf die Bereitstellung von iOS-Updates haben, ist nicht bekannt.

Microsoft hingegen macht in der Regel gar keine Angaben zu geschlossenen Sicherheitslücken in seinen Smartphones. Vom monatlichen Patchday des Unternehmens sind Geräte mit Windows Phone ausgeschlossen. Ob die zuletzt meist zeitnah zu den Patchdays ausgelieferten Updates für Windows 10 Mobile Korrekturen für sicherheitsrelevante Fehler enthalten, behält Microsoft ebenfalls für sich.

[mit Material von Zack Whittaker, ZDNet.com]

Tipp: Kennen Sie alle wichtigen Smartphone-Modelle, die letztes Jahr vorgestellt wurden? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.